أطلقت جمعية بورصات الأصول الرقمية الكورية (DAXA) في 29 مايو معياراً جديداً للامتثال، يتطلب إبطال مفاتيح API المشتبه في أنها تُستخدم من خلال مشاركة غير ملائمة بين المستخدمين، وذلك على كل من Upbit وBithumb وCoinone وKorbit وGopax. أكدت DAXA أنها ستطبق نظاماً لقائمة السماح بعناوين IP (IP白名单)، لكنها لم تكشف بعد عن طريقة كشف مشاركة API بالتفصيل.
تأكيد تدابير DAXA الجديدة: الإبطال، وإعادة الترخيص، وقائمة السماح بعناوين IP
أكدت DAXA في لائحتها الجديدة أن البورصات الأعضاء، في حال رصدت سلوكاً مشبوهاً يتمثل في مشاركة API، ستتخذ إجراءات على مراحل: تعزيز المراقبة، وإرسال تنبيه للمستخدمين، ثم فرض إعادة ترخيص إلزامية، وأخيراً إبطال مفاتيح API التي يُشتبه في مشاركتها.
وفي الوقت نفسه، ستقوم البورصات الأعضاء بنشر نظام قائمة السماح بعناوين IP، بهدف تقييد وصول API بحيث يسمح بالاتصالات القادمة فقط من عناوين تمت الموافقة عليها لديها. كانت Binance وCoinbase وOKX وKraken تدعمان سابقاً قوائم السماح بعناوين IP وإدارة صلاحيات API، ويأتي معيار DAXA الجديد ليفرض هذا النوع من الضوابط بشكل إلزامي على البورصات في كوريا.
خلفية تاريخية معروفة: أنماط التلاعب وإساءة استخدام API التي أكدت عليها FSS
أوضحت FSS أن بعض المتداولين يستخدمون أسلوب "التقديم والإلغاء المتكرر لطلبات شراء كبيرة" بهدف توليد إشارات طلب وهمية، ثم يقومون بتنفيذ صفقات البيع بعد ارتفاع السعر. أكدت FSS أنها لم تكشف عن عدد الحسابات الخاضعة حالياً للتحقيق.
ومن حيث الخلفية التاريخية، شهدت حادثة 3Commas في مارس 2022 تسرباً يقارب 100 ألف مفتاح API، وكانت المفاتيح ذات صلة بحسابات Binance وKuCoin. أكدت شركة البنية التحتية للتشفير Sodot أن العديد من الأحداث المرتبطة بـ API تُصنف عادة بشكل عام على أنها هجمات اختراق شائعة، دون الإفصاح الصحيح عن كونها حوادث تسرب بيانات اعتماد (شهادات).
الأسئلة الشائعة
ما هي الإجراءات المحددة التي تفرضها قواعد DAXA الجديدة لواجهات API، ولأي بورصات تنطبق؟
وفقاً لتأكيد DAXA، تفرض اللائحة الجديدة على بورصات Upbit وBithumb وCoinone وKorbit وGopax الخمس، عند اكتشاف مشاركة API مشبوهة، تنفيذ: تعزيز المراقبة، وإصدار تحذير للمستخدمين، وإعادة ترخيص إلزامية، وأخيراً إبطال مفاتيح API التي يُشتبه في مشاركتها، إضافة إلى نشر نظام قائمة السماح بعناوين IP. أكدت DAXA أنها لم تكشف عن طريقة الكشف التفصيلية.
ما هو أسلوب التلاعب في السوق الذي أكدت عليه FSS بالتحديد، وأي نوع من المخالفات يعد؟
أكدت FSS أن أساليب التلاعب التي تم وضع علامة عليها تشمل: تقديم وإلغاء صفقات شراء كبيرة بشكل متكرر من أجل توليد إشارات طلب وهمية، ثم تنفيذ صفقات البيع بعد ارتفاع السعر، وهو ما يندرج ضمن سلوكيات التسعير الخادعة في السوق (Spoofing). أكدت FSS أنها لم تكشف عن العدد المحدد للحسابات الخاضعة للتحقيق.
ما العلاقة الخلفية بين حادثة 3Commas في 2022 وهذه القواعد الجديدة الصادرة عن DAXA؟
وقعت حادثة 3Commas في 2022، حيث تم تسرب ما يقارب 100 ألف مفتاح API، وكانت المفاتيح مرتبطة بحسابات Binance وKuCoin. تهدف قواعد DAXA الجديدة إلى مطالبة البورصات، من منظور الامتثال، بأن تقوم بشكل استباقي بكشف ومراقبة سلوك مشاركة API، وليس انتظار وقوع حادث تسرب ثم التعامل معه لاحقاً.
